Fortify SCA快速入门以及常见问题解决方法

本篇将透过HP_Fortify_SCA_and_Apps_3.80从实用主义的角度入手,使读者能够快速的对该工具进行使用和对一些可能出现的常见问题进行处理,从而完成一个完整流程的源代码安全性静态扫描测试。

快速入门

  • 规则库导入:
    所有的扫描都是基于规则库进行的,因此,建立扫描任务的前提条件就是你需要把检查规则拷贝到HP_Fortify\HP_Fortify_SCA_and_Apps_3.80\Core\config\rules文件夹下,拷贝后便为扫描建立了默认的规则库。另外,你也可以自定义规则,这些内容将会在以后逐一介绍。

  • 建立和执行扫描任务:
    我们分别通过Java、.Net C#和C/C++三类不同编程语言项目来介绍如何快速建立和执行扫描任务:
    Java项目:
    Fortify SCA对于Java项目的支持是做得最好的,建立扫描入口的路径选择非常多,常用的方法是直接执行HP_Fortify\HP_Fortify_SCA_and_Apps_3.80\bin\auditworkbench.cmd,启动审计工作台就可以直接对Java项目进行静态扫描;另外也可以使用Fortify SCA插件,集成嵌入Eclipse来完成开发过程中的实时扫描;当然,你也可以使用原生的命令行工具完成全部工作,我们这里介绍一个通用的方法,即利用ScanWizard工具导入你的源码项目,通过一系列设置后,会生成一个批处理脚本文件,通过批处理代替手工输入执行命令进行测试。
    使用HP_Fortify\HP_Fortify_SCA_and_Apps_3.80\bin\ScanWizard.cmd启动ScanWizard工具:
    这里写图片描述
    通过该页面可以选择你待扫描的Java项目根目录,如下图:
    这里写图片描述
    通过该页面你可以Review由Fortify帮你候选好的待扫描文件的情况,并通过人工对其进行调整,以满足你自己的扫描需求;
    这里写图片描述
    另外,也会列出所有你已经选择的待扫描文件的文件类型(Fortify所支持的编程语言),你可以通过勾选选择你要扫描的类型。
    这里写图片描述
    这里写图片描述
    对于Java项目,通过该页面你可以Review由Fortify帮你候选好的ClassPath,即你项目中引用的所有Jar包,一旦存在引用缺失,它会清晰的对你有如下提示:
    这里写图片描述
    这样就有助你把所有Jar文件找到并设置对应的ClassPath,像如下方式通过勾选设置:
    这里写图片描述
    这里写图片描述
    对脚本的生成环境、脚本文件的生成路径、名称进行配置;
    对扫描阶段进行参数项的配置:
    这里写图片描述
    最终将按配置生成一个批处理或Shell脚本,运行即可完成测试。
    .Net C#项目:
    对于.Net C#项目我们同样以ScanWizard工具为例进行说明,与Java项目的区别是Fortify SCA需要依赖.Net SDK和VisualStudio环境, 因此,需要安装对应版本的相关软件产品。
    另外,就是通过如下界面设置源代码内部所依赖的所有动态链接库(DLL)的路径:
    这里写图片描述
    当然,除了以上方法,你也可以通过使用Fortify SCA的VisualStudio插件,来完成开发过程中的实时扫描。
    C/C++项目:
    最后说说C/C++项目,C项目的扫描依赖C/C++编译器,比如Linux上的gcc、g++编译器,Windows上的CL编译器等。在此,我们主要以Linux操作系统下的C项目为例进行介绍,我们完全依靠命令行工具进行扫描,主要的方法是转换过程需要借助C源码项目中Makefile,主要过程如下:
    (1)cmdmake clean
    (2)cmdsourceanalyzer -b <build_id> touchless make 建立转换过程
    (3)cmdsourceanalyzer -b <build_id> -scan -f result.fpr进行源代码扫描,并输出结果

  • 结果审计:
    扫描的执行很简单,关键是对扫描结果进行review和audit,甄别出真正存在安全风险的代码,这类工具误报率都是很大的,通过执行HP_Fortify\HP_Fortify_SCA_and_Apps_3.80\bin\auditworkbench.cmd,使用审计工作台完成对原始结果的审计,最终可以导出安全报告和开发者报告。

常见问题解决方法

内存不足问题

在应用Fortify SCA实施源代码扫描过程中内存不足是分析器(sourceanalyzer)经常报出的一类问题,如下:
扫描过程中:

com.fortify.sca.analyzer.AbortedException: There is not enough memory available
to complete analysis.  For details on making more memory available, please consult the user manual.

结果过程中:

There were 3 problems with insufficient memory. Results may be incomplete. Consider allocating more memory.

因此,我们必须对JVM参数进行调整,增加虚拟器内存大小。
(1)确认安装64位的Fortify SCA程序;(这是一个众所周知的JVM问题,32为虚拟机内存大小及其有限);
(2)安装一个64位的jre,并将其替换HP_Fortify\HP_Fortify_SCA_and_Apps_3.80\的jre目录(就算你安装了64位的Fortify SCA程序,该程序默认的jre仍然是32位的);
(3)调整扫描参数,如下所示:

sourceanalyzer  -64 -Xmx4096M -Xms4096M -Xss24M ......

或通过修改ScanWizard工具所生成的脚本文件:

set MEMORY=-64 -Xmx4096M -Xms4096M -Xss24M

这样,我们就解决了内存不足的问题。

.Net环境匹配问题

由于Fortify SCA版本对于支持.Net环境的版本有限,比如最大支持到Microsoft SDK 7.0A
版本的SDK,如下脚本:

echo Searching VS Version....
reg QUERY "HKLM\SOFTWARE\Microsoft\Microsoft SDKs\Windows\v7.0A" 2>NUL >NUL
IF %ERRORLEVEL%==0 (
set LAUNCHERSWITCHES=-vsversion 10.0 %LAUNCHERSWITCHES%
echo Found .NET 4.0 setting to VS version 10.0
GOTO VSSELECTED
)

通过Windows注册表中的SDK信息设置扫描依赖版本;
而且,由于Windows版本和.Net Framework版本的差异,环境上往往需要自己增加许多配置项,最常见的配置如下:
(1)SDK版本设置:
比如是8.1版本的,我们可以修改脚本文件:

reg QUERY "HKLM\SOFTWARE\Microsoft\Microsoft SDKs\Windows\v8.1A" 2>NUL >NUL

(2)ildasm路径设置
Unable to locate ildasm是一个常见问题,在转换中没有寻找到ildasm程序,可以通过以下方法设置:
1、fortify-sca.properties文件增加一行com.fortify.sca.IldasmPath=C:\Program Files (x86)\Microsoft SDKs\Windows\v8.1A\bin\NETFX 4.5.1 Tools\ildasm(一定是双斜杠)
2、脚本中的Translating过程中增加一行,如:

echo Translating files
echo %SOURCEANALYZER% %MEMORY% %LAUNCHERSWITCHES% -b %BUILDID% @%ARGFILE%
%SOURCEANALYZER% %MEMORY% %LAUNCHERSWITCHES% -b %BUILDID% @%ARGFILE% -Dcom.fortify.sca.IldasmPath="C:\Program Files (x86)\Microsoft SDKs\Windows\v8.1A\bin\NETFX 4.5.1 Tools\ildasm"
IF %ERRORLEVEL%==1 (
echo Sourceanalyzer failed, exiting
GOTO :FINISHED
)

(3)依赖DLL的设置
在通过ScanWizard设置源代码内部所依赖的所有动态链接库(DLL)的路径过程中,不会像Java项目一样报出哪些库未正确引用,只有当执行扫描时才会进行警告,因此,需要返回来通过警告信息进行设置,为“-libdirs”设置正确的路径,主要的引用目录路径为:
C:\Windows\Microsoft.NET\Framework和C:\Windows\Microsoft.NET\Framework64。

相关推荐
fortify扫描工具的说明手册,对实际工作有指导作用,讲的比较清晰。 Fortify SCA分析原理 Front-End 3rd party IDE Java Pug-In C/C++ MicrOsoL NET IBM.eclipse Audit workbench PLSQL XML Analysis Engine Semantic fdi/ fpr Gobal Data flow N Control Flow Configuration Structural Fortify Manager NST Rules builder Custom Pre-Packaged FORTIFY Fortify SCA分析过程 SCA Engine Intermediate Scan phase fles Using Analyzers Tt transation (NST) .Rules Analysis Result File -b build id 阶段一:转换阶段( Translation) 阶段二:分析阶段(Scan o sourceanalyzer-b -clean o sourceanalyzer -b sourceanalyzer-b -Xmx1250m-scan-f results fpr FORTIFY Fortify SCA扫描的工作 Visual studio Eclipse, IBM RAD 面 Audit Workbench Java,. Net Fortify Global Build Tool C, C/C++ Analysis JSP Touchless Build Fortify PL/SQL IDE Intermediate FPR TSOL Model Cold Command Line Interface Fusion 运己 Fortify I m Manager Secure Coding Rules Fortify Customized Rules Rules FORTIFY Fortify SCA扫描的五种方式 插件方式: Plug-In(Eclipse, vs WsAd,rad) 命令行方式 Command line ●扫描目录方式: Audit workbench scan Folder 与其他工具集成: Scan with ANt, Makefile ●编译监控器方式: Fortify SCA Build Monitor FORTIFY Fortify SCA扫描的四个步骤 Fortify SCA扫描总共可以分为四个步骤: ●1. Clean:清除阶段: sourceanalyzer -b proName -clean 2. Translation:转换阶段 3.ShoW-fe:查看阶段 sourceanalyzer -b proName -show-files 4.scan:扫描阶段 sourceanalyzer-b proName -Xmx1250m -scan -f proName. fpr FORTIFY Fortify SCA命令行参数说明 查看SCA扫描命令及参数→> sourceanalyzer ca\ C:\VIRDoS\syste32\cd. exe 川 icrosoft Windows XP[版不5.1268g Kc版权所有1985-2 061 Microsoft Gorp :Documents and settings anming >sourceanalyzer --he lp Fortify Source Code Analyze4..日.回153 Copyright (c>2003-2006 Fortify Software Usage Bu⊥1d Java: sourceanalyzer -b sourceanalyzer -b javac G/C++: sourceanalyzer -b NET: sourceanalyzer -b scan〓 sourceanalyzer -b -scan -f results. fpr Output opt ions -format Controls the output format. Valid options are auto, fpr. fvdl, and text. D
©️2020 CSDN 皮肤主题: 编程工作室 设计师:CSDN官方博客 返回首页